ďťż
 
 
   Jak zablokowac dostep do WWW ?
 
 

Tematy
 
    
 

 

 

 

Jak zablokowac dostep do WWW ?




adenet - 18-06-2007 16:08
Witam,

Posiadam dostep do 2 serwerow monitoringu poprzez WWW z sieci lokalnej ( akurat nie mam do nich dostepu fizycznego ani zdalnego - gdyz firma ktora postawila monitoring - sie tym zajmuje ). Natomiast w biurze jest serwer ( Debian ) oraz 13 komputerow biurowych ( przydzielany jest im internet z serwera poprzez IPTABLES ).

Do serwera monitoringu mozna wejsc poprzez przegladarke internetowa wpisujac 192.168.1.100 oraz 192.168.1.101.

Natomiast komputery w biurze maja adresy od 192.168.1.2-13. ( mozliwosc jest tez rowniez przez DHCP )

Chodzi mi o to zeby tym komputerom w sieci zablokowac dostep WWW monitoringu ( 192.168.1.100 oraz 192.168.1.101 ) z WYJATKIEM jednego komputera w biurze 192.168.1.10 ( ma miec dostep WWW monitoringu ! ).

Jak to zrobic ?

Prosilbym o pilna, szczegolowa pomoc.
Bylbym bardzo wdzieczny.

Adam Dziki


Stawi - 19-06-2007 00:58
Problem polega na tym ze przy takiej konfiguracji jak masz teraz to nie zrobisz nic bo kompy "biurowe" dostaja sie do "monitoringowych" poprzez switche/huby/wifi/.

Istnieja dwa (przynajmniej ja znam dwa) rozwiazania:

1) Latwo, szybko, w miare tanio, w miare sensownie - dwie karty sieciowe w serwerze na LAN. Jedna na kompy zwykle druga na monitoring. Odpowiednie ustawienie routingu tak zeby nic nie szlo z jednej na druga. Raczej nie zrobisz tego w tej samej sieci (czyli 192.168.1.x) jak masz teraz tylko bedziesz musial rozbic na dwie, ale moge sie mylic - trzeba chwilke poczytac o maskach itd. Na pewno bedzie dzialac na np. 192.168.1.x na biuro i 192.168.2.x monitoring. Obie maski sieciowe na 255.255.255.0 i w obu przypadkach x=1 dla serwera.
Srednie wydatki: 30-50zl za karte sieciowa, 10min montaz, 20min konfiguracja.
2) Trudniej, wolniej (zalezy od umiejetnosci), duzo drozej, profesjonalnie - wszystko zostaje tak jak jest tylko zamiast switcha jaki masz teraz kupujesz porzadny zarzadzalny. Tutaj duzo ci powiedziec nie moge bo nie mialem z nimi stycznosci ale wiem ze potrafia cuda - np. limitowac ruch na podstawie gniazd w dowolny sposob - np. z gnazda 1-3 dziala tylko www, z 4 jest tylko polaczenie do 2, 5 jest calkiem odcieta, 6-10 maja wszystko ale minimalne priorytety w QoS ;)
Srednie wydatki: 500zl minimum (praktycznie nie ma gornego progu, widzialem model Cisco za 20k+), ~1h montaz (szafka rack + patchpanel), konfiguracja od zera nie umiejac nic to pare godzin z manualem w reku..


stepek - 19-06-2007 06:48
Mam prosty sposob (wydaje sie jak drut ale nie wiem czy do konca sie uda bo nie znam tam ludzi). Rozumiem ze te kompy useerow to windowsy. Jezeli tak to zabron im odwiedzania takiej strony (poszukaj w necie ale na bank cos takiego jest ylko nie pamietam w ktorym pliku to siedzi), nastepnie zabierz prawa do tego pliku do pisania by nie mogli tego zmodyfikowac i wszystko. Nic nie kosztuje a powinno dzialc. Klopotem jest jedynie to ze musisz albo skopiowac wczesniej przygotowny plik na wszystkie kompy albo wpisywac wszystko z reki.
To taki pierwszy sposob.
Zastanawiam sie wlasnie nad tym IPTABLES bo przypuszczam ze to tez da sie jakos zrobic, tylkoz e nie mam gotowej formulki :)


Stawi - 20-06-2007 00:45

Zastanawiam sie wlasnie nad tym IPTABLES bo przypuszczam ze to tez da sie jakos zrobic, tylkoz e nie mam gotowej formulki :) Nie zrobisz nic na IPTables na serwerze bo on nie ma nic do rzeczy. Polaczenie biuro->monitoring idzie przez switch.

Co mnie natknelo dzisiaj.. najprostrze rozwiazanie - nie da sie zwyczajnie w kompach monitoringu zrobic praw dostepu? Chocby login/pass? Co z tego ze ktos wejdzie jak nic nie widzi...


stepek - 20-06-2007 13:07
Stawi Dac sie to zrobic prze IPTABLES da ale to bez sansu zupelnie. Wiec przyznaje racje ze przy tym jak to idzie nie da sie zrobic.
Druga sprawa ze nie wiem czy zwrociles uwage ze nie ma czlowiek dostepu do kompow monitoringu.


Stawi - 20-06-2007 20:44
No on nie ma, ale ma dostep do telefonu albo do szefa a szef do telefonu do adminow od tych serwerow - niech ustawia jakas autoryzacje, jak nie to niech sie ... i dadza pelny dostep bo podstawowych rzeczy nie chca zrobic.. Przy okazji mozna kasowac dodatkowa kase za opiekowanie sie dwoma dodatkowymi kompami ;)

Dalej potrzymuje swoje zdanie ze sie nie da zrobic tego na iptables biorac pod uwage jak jest teraz (o ile dobrze rozumiem jak jest) - w jeden switch sa wpiete: 1x serwer debian, 2x monitoring, 12x biuro. Kazdy z tych komputerow laczy sie z innym BEZPOSREDNIO przez switch.
Jedynie opcje to dwie karty sieciowe na serwerze, dwa switche i dwie osobne podsieci, wtedy polaczenie idzie przez serwer i mozna je kontrolowac, ALBO zarzadzalny switch w ktorym mozna kontrolowac przeplyw pakietow i odpowiednio poprzycinac.
O jednym i drugim mowilem wczesniej, tylko zapomnialem dopisac ze w przypadku dwoch sieciowek potrzeba tez dwa switche, ale to podnosi koszt o pare zlotych bo trzeba kupic malego na monitoring.


stepek - 21-06-2007 14:38
zagadzam sie z tym z tym ze tak jak jest teraz to owszem, nie ale mozna troszeczke pokombinowac i juz sie da.
Co do Twojej wypowiedzi ze mozna zadzwonic to wiesz to nie jest rozwiazanie. Dzwonic to czasami trzeba placic a nie po to jest informatyk w firmie by dzwonil.


Stawi - 22-06-2007 00:41
No jest informatyk bo wie co chce i gdzie dzwonic ;)
A na powaznie - jesli od monitoringu jest zewnetrzna firma to ona robi wszystko co jest zwiazane z monitoringiem czesto nawet wymagaja tego zeby byla gwarancja czy cos takiego.
Mam podobna sytuacje w centrum medycznym gdzie pracuje. Stoi tam tomograf, komputer technika (do robienia zdjecia) i komputer dla lekarza (do opisywania), wszystko spiete w swojego switcha. Oprucz tego jest osobna siec do innych rzeczy ktora sie zajmuje w calosci.
Co kolwiek by sie z komputerami od tomografu nie dzialo trzeba dzwonic do firmy ktora to wszystko sprzedala. Ruszenie czegokolwiek na wlasna reke to jest utrata gwarancji na calosc - bardzo glupie, ale takie zycie.. Nie ryzukujac, jak cos trzeba to dzwonie do nich, bo zrobie cokolwiek z kompem, potem cos sie stanie z tomografem calkowicie niezaleznie od tego co ja robilem i jest smrod - chyba nie musze mowic ile takie zabawki kosztuja..

Btw, komputer technika ktory steruje tomografem jest pod linuxem albo unixem, nie mialem okazji sie przygladnac dokladniej. Widac ze gdzie jest potrzebna niezawodnosc to wybierane jest dobry system ;))


stepek - 22-06-2007 06:30
Tez mam podobne maszynki w mojej firmime :) i tez p odobna sytuacje. Z tym ze rozumiem ze ten komputer jest do sprzetu i to bardzo dorgiego sprzetu wiec albo porzadne szkolenie albo sie nie dotykam. Ale mialem sytuacje ze do takiego kompa bylo trzeba wsadzic dodatkowa sieciowke, a spieszylo sie jak diabli. Telefon do firmy i slysze od firmy ze jasne ze moge sam wsadzic sieciowke bez zadnych utrat gwarancji i tym podobnych.
Zgadzam sie z Toba ze w wielu masszynach sa systemy linux/unix :)
Czasami nie chce sie dzwonic by cos tam mieli zrobic jak mozna samemu. Czasmi lepiej obejsc firmy zewnetrzne bo po co maja wiedziec ze costamcos i pozniej wymyslac kosmiczne wytlumaczenia dlaczego to nie chodzi. :)


Stawi - 22-06-2007 07:54
Czasem mozna samemu i bedzie dobrze, a czasem bedzie zle i jest wielki problem, albo czasem jest dobrze ale sie i tak przyczepia i tez jest problem ;)
Zdania powyzsze dotyczna sie nie tylko komputerow. Slyszalem ze pewna-firma-samochodowa-ktorej-nazwy-nie-pamietam uniewaznila facetowi 10 (czy iles tam) letnia gwarancje na karoserie to zamontowal sam glosniki w drzwiach, a zamontowal takie same jakie oni montuja. Wszystko bylo dobrze dopuki samochod nie zaczol sie sypac, i powiedzieli ze bledne montowanie glosnikow doprowadzilo do rezonansu czy czegos tam i przez to karoseria szybciej koroduje... No wielkie LOL ale tak bywa ;))

A pozatym to troszke od tematu odchodzimy, a autor nic sie nie wypowiada czy jakkolwiek pomoglismy?


stefanw - 13-11-2007 11:45

Witam,

Posiadam dostep do 2 serwerow monitoringu poprzez WWW z sieci lokalnej ( akurat nie mam do nich dostepu fizycznego ani zdalnego - gdyz firma ktora postawila monitoring - sie tym zajmuje ). Natomiast w biurze jest serwer ( Debian ) oraz 13 komputerow biurowych ( przydzielany jest im internet z serwera poprzez IPTABLES ).

Do serwera monitoringu mozna wejsc poprzez przegladarke internetowa wpisujac 192.168.1.100 oraz 192.168.1.101.

Natomiast komputery w biurze maja adresy od 192.168.1.2-13. ( mozliwosc jest tez rowniez przez DHCP )

Chodzi mi o to zeby tym komputerom w sieci zablokowac dostep WWW monitoringu ( 192.168.1.100 oraz 192.168.1.101 ) z WYJATKIEM jednego komputera w biurze 192.168.1.10 ( ma miec dostep WWW monitoringu ! ).

Jak to zrobic ?

Prosilbym o pilna, szczegolowa pomoc.
Bylbym bardzo wdzieczny.

Adam Dziki zainstalowac apache-ssl ?
zbudowac prosty skrypt w php, który w zależności od adresu ip wyświetli odpowiednią stronę ?
pisz na gg 2612221 to podam więcej szczegółów
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis